S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Installer ATA - Étape 6Install ATA - Step 6

Étape 6.Step 6. Configurer la collecte d’événementsConfigure event collection

Configurer la collecte d’événementsConfigure Event Collection

Pour améliorer les capacités de détection, ATA a besoin des événements Windows suivants : 4776, 4732, 4733, 4728, 4729, 4756, 4757 et 7045.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757 and 7045. Ils peuvent être lus automatiquement par la passerelle légère ATA ou, si la passerelle légère ATA n’est pas déployée, ils peuvent être transférés à la passerelle ATA de deux manières : en configurant la passerelle ATA pour l’écoute des événements SIEM ou en configurant le transfert d’événements Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by Configuring Windows Event Forwarding.

Note

Pour les versions 1.8 et ultérieures d’ATA, la configuration de la collecte d’événements n’est plus nécessaire pour les passerelles légères ATA.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. La passerelle légère ATA peut désormais lire les événements localement, sans qu’il soit nécessaire de configurer le transfert d’événements.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.

Outre la collecte et l’analyse du trafic réseau à destination et en provenance des contrôleurs de domaine, ATA peut utiliser des événements Windows pour améliorer les détections.In addition to collecting and analyzing network traffic to and from the domain controllers, ATA can use Windows events to further enhance detections. Il utilise l’événement 4776 pour NTLM, qui améliore plusieurs détections et les événements 4732, 4733, 4728, 4729, 4756 et 4757 pour améliorer la détection des modifications de groupes sensibles.It uses event 4776 for NTLM, which enhances various detections and events 4732, 4733, 4728, 4729, 4756, and 4757 for enhancing detection of sensitive group modifications. Vous pouvez soit recevoir cet événement de votre serveur SIEM, soit définir le transfert d’événements Windows à partir de votre contrôleur de domaine.This can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Les événements collectés fournissent à ATA des informations supplémentaires qui ne sont pas accessibles par le biais du trafic réseau du contrôleur de domaine.Events collected provide ATA with additional information that is not available via the domain controller network traffic.

SIEM/SyslogSIEM/Syslog

Pour qu’ATA puisse consommer des données provenant d’un serveur Syslog, vous devez effectuer les étapes suivantes :For ATA to be able to consume data from a Syslog server, you need to perform the following steps:

  • Configurez vos serveurs de passerelle ATA pour écouter et accepter les événements transférés à partir du serveur SIEM/Syslog.Configure your ATA Gateway servers to listen to and accept events forwarded from the SIEM/Syslog server. > [!NOTE] > ATA écoute uniquement sur IPv4 et non sur IPv6.ATA only listens on IPv4 and not IPv6.
  • Configurez votre serveur SIEM/Syslog de façon à transférer des événements spécifiques à la passerelle ATA.Configure your SIEM/Syslog server to forward specific events to the ATA Gateway.

Important

  • Ne transférez pas toutes les données Syslog vers la passerelle ATA.Do not forward all the Syslog data to the ATA Gateway.
  • ATA prend en charge le trafic UDP provenant du serveur SIEM/Syslog.ATA supports UDP traffic from the SIEM/Syslog server.

Pour plus d’informations sur la façon de configurer le transfert d’événements spécifiques vers un autre serveur, consultez la documentation produit de votre serveur SIEM/Syslog.Refer to your SIEM/Syslog server's product documentation for information on how to configure forwarding of specific events to another server.

Note

Si vous n’utilisez pas un serveur SIEM/Syslog, vous pouvez configurer vos contrôleurs de domaine Windows de façon à transférer l’événement Windows associé à l’ID 4776 pour qu’il soit collecté et analysé par ATA.If you do not use a SIEM/Syslog server, you can configure your Windows domain controllers to forward Windows Event ID 4776 to be collected and analyzed by ATA. L’événement Windows associé à l’ID 4776 fournit des données relatives aux authentifications NTLM.Windows Event ID 4776 provides data regarding NTLM authentications.

Configuration de la passerelle ATA pour écouter les événements SIEMConfiguring the ATA Gateway to listen for SIEM events

  1. Dans la configuration ATA, sous Sources de données, cliquez sur SIEM et activez Syslog, puis cliquez sur Enregistrer.In ATA Configuration, under Data sources click SIEM and turn on Syslog and click Save.

    Image de l’activation du protocole UDP de l’écouteur syslog

  2. Configurez votre serveur SIEM ou Syslog pour transférer l’événement Windows associé à l’ID 4776 vers l’adresse IP de l’une des passerelles ATA.Configure your SIEM or Syslog server to forward Windows Event ID 4776 to the IP address of one of the ATA Gateways. Pour plus d’informations sur la configuration de votre serveur SIEM, consultez l’aide en ligne de SIEM ou explorez les options de support technique à votre disposition pour obtenir les formats à respecter pour chaque serveur SIEM.For additional information on configuring your SIEM, see your SIEM online help or technical support options for specific formatting requirements for each SIEM server.

ATA prend en charge les événements SIEM aux formats suivants :ATA supports SIEM events in the following formats:

RSA Security AnalyticsRSA Security Analytics

<En-tête Syslog>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0<Syslog Header>RsaSA\n2015-May-19 09:07:09\n4776\nMicrosoft-Windows-Security-Auditing\nSecurity\XXXXX.subDomain.domain.org.il\nYYYYY$\nMMMMM \n0x0

  • L’en-tête syslog est facultatif.Syslog header is optional.

  • Le séparateur de caractère « \n » est obligatoire entre tous les champs.“\n” character separator is required between all fields.

  • Les champs, dans l’ordre, sont les suivants :The fields, in order, are:

    1. Constante RsaSA (doit être indiquée).RsaSA constant (must appear).

    2. Horodateur de l’événement réel (vérifiez qu’il ne s’agit pas de l’horodateur de l’arrivée au serveur SIEM ou de l’envoi à ATA).The timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). De préférence avec une précision de l’ordre de la milliseconde (ceci est important).Preferably in milliseconds accuracy, this is important.

    3. ID de l’événement WindowsThe Windows event ID

    4. Nom du fournisseur d’événements WindowsThe Windows event provider name

    5. Nom du journal des événements WindowsThe Windows event log name

    6. Nom de l’ordinateur recevant l’événement (ici, le contrôleur de domaine).The name of the computer receiving the event (the DC in this case)

    7. Nom de l’utilisateur qui s’authentifie.The name of the user authenticating

    8. Nom de l’hôte source.The name of the source host name

    9. Code de résultat de NTLM.The result code of the NTLM

  • L’ordre est important, et rien d’autre ne doit figurer dans le message.The order is important and nothing else should be included in the message.

HP ArcsightHP Arcsight

CEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|Le contrôleur de domaine a tenté de valider les informations d’identification d’un compte.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error CodeCEF:0|Microsoft|Microsoft Windows||Microsoft-Windows-Security-Auditing:4776|The domain controller attempted to validate the credentials for an account.|Low| externalId=4776 cat=Security rt=1426218619000 shost=KKKKKK dhost=YYYYYY.subDomain.domain.com duser=XXXXXX cs2=Security cs3=Microsoft-Windows-Security-Auditing cs4=0x0 cs3Label=EventSource cs4Label=Reason or Error Code

  • Doit être conforme à la définition du protocole.Must comply with the protocol definition.

  • Aucun en-tête syslog.No syslog header.

  • La partie en-tête, séparée par une barre verticale, doit exister (comme indiqué dans le protocole).The header part (the part that’s separated by a pipe) must exist (as stated in the protocol).

  • Les clés suivantes dans la partie Extension doivent être présentes dans l’événement :The following keys in the Extension part must be present in the event:

    • externalId = ID de l’événement Windows.externalId = the Windows event ID

    • rt = Horodateur de l’événement réel (vérifiez qu’il ne s’agit pas de l’horodateur de l’arrivée au serveur SIEM ou de l’envoi à ATA).rt = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). De préférence avec une précision de l’ordre de la milliseconde (ceci est important).Preferably in milliseconds accuracy, this is important.

    • cat = nom du journal des événements Windows.cat = the Windows event log name

    • shost = nom de l’hôte source.shost = the source host name

    • dhost = nom de l’ordinateur recevant l’événement (ici, le contrôleur de domaine).dhost = the computer receiving the event (the DC in this case)

    • duser = utilisateur qui s’authentifie.duser = the user authenticating

  • L’ordre de la partie Extension n’est pas important.The order is not important for the Extension part

  • Vous devez avoir une clé personnalisée et un libellé dé clé pour les deux champs suivants :There must be a custom key and keyLable for these two fields:

    • « EventSource »“EventSource”

    • « Reason or Error Code » = code de résultat de NTLM“Reason or Error Code” = The result code of the NTLM

SplunkSplunk

<En-tête Syslog>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=<Syslog Header>\r\nEventCode=4776\r\nLogfile=Security\r\nSourceName=Microsoft-Windows-Security-Auditing\r\nTimeGenerated=20150310132717.784882-000\r\ComputerName=YYYYY\r\nMessage=

L’ordinateur a tenté de valider les informations d’identification d’un compte.The computer attempted to validate the credentials for an account.

Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Compte d’ouverture de session : AdministrateurLogon Account: Administrator

Station de travail source : SIEMSource Workstation: SIEM

Code d’erreur : 0x0Error Code: 0x0

  • L’en-tête syslog est facultatif.Syslog header is optional.

  • Le séparateur de caractère « \r\n » est utilisé entre tous les champs obligatoires.There’s a “\r\n” character separator between all required fields.

  • Les champs sont au format clé = valeur.The fields are in key=value format.

  • Les clés suivantes doivent exister et avoir une valeur :The following keys must exist and have a value:

    • EventCode = ID de l’événement Windows.EventCode = the Windows event ID

    • Logfile = nom du journal des événements Windows.Logfile = the Windows event log name

    • SourceName = nom du fournisseur d’événements Windows.SourceName = The Windows event provider name

    • TimeGenerated = horodateur de l’événement réel (vérifiez qu’il ne s’agit pas de l’horodateur de l’arrivée au serveur SIEM ou de l’envoi à ATA).TimeGenerated = the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Le format doit être aaaaMMjjHHmmss.FFFFFF, avec de préférence une précision de l’ordre de la milliseconde (ceci est important).The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is important.

    • ComputerName = nom de l’hôte source.ComputerName = the source host name

    • Message = texte de l’événement Windows d’origine.Message = the original event text from the Windows event

  • La clé et la valeur du message DOIVENT figurer en dernier.The Message Key and value MUST be last.

  • L’ordre n’est pas important pour les paires clé=valeur.The order is not important for the key=value pairs.

QRadarQRadar

QRadar permet la collecte d’événements par le biais d’un agent.QRadar enables event collection via an agent. Si les données sont recueillies au moyen d’un agent, le format de l’heure est collecté sans les données des millisecondes.If the data is gathered using an agent, the time format is gathered without millisecond data. ATA nécessitant les données des millisecondes, vous devez définir QRadar pour qu’il utilise la collecte d’événements de Windows sans agent.Because ATA necessitates millisecond data, it is necessary to set QRadar to use agentless Windows event collection. Pour plus d’informations, consultez http://www-01.ibm.com/support/docview.wss?uid=swg21700170 .For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21700170.

<13>Feb 11 00:00:00 %IPADDRESS% AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=%FQDN% User= Domain= EventID=4776 EventIDCode=4776 EventType=8 EventCategory=14336 RecordNumber=1961417 TimeGenerated=1456144380009 TimeWritten=1456144380009 Message=The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: Administrator Source Workstation: HOSTNAME Error Code: 0x0

Les champs requis sont les suivants :The fields needed are:

  • Type d’agent pour la collecteThe agent type for the collection
  • Nom du fournisseur de journaux des événements WindowsThe Windows event log provider name
  • Source du journal des événements WindowsThe Windows event log source
  • Nom de domaine complet du contrôleur de domaineThe DC fully qualified domain name
  • ID de l’événement WindowsThe Windows event ID

TimeGenerated représente l’horodateur de l’événement réel (vérifiez qu’il ne s’agit pas de l’horodateur de l’arrivée au serveur SIEM ou de l’envoi à ATA).TimeGenerated is the timestamp of the actual event (make sure it’s not the timestamp of the arrival to the SIEM or when it’s sent to ATA). Le format doit être aaaaMMjjHHmmss.FFFFFF, avec de préférence une précision de l’ordre de la milliseconde (ceci est important).The format should match yyyyMMddHHmmss.FFFFFF, preferably in milliseconds accuracy, this is important.

Message représente le texte de l’événement Windows d’origine.Message is the original event text from the Windows event

Assurez-vous que \t sépare les paires clé/valeur.Make sure to have \t between the key=value pairs.

Note

Utiliser WinCollect pour la collecte des événements Windows n’est pas pris en charge.Using WinCollect for Windows event collection is not supported.

Voir aussiSee Also